Internetbuggen: Många apparater kommer aldrig att fixas

2014-04-10 11:27  

Trots den omfattande uppmärksamheten kring internetbuggen Heartbleed kommer mängder med apparater aldrig att repareras. Det gäller såväl settopp-boxar och trådlösa routrar som industriell utrustning.

Internetbuggen Heartbleed, som blev känd i måndags och har skakat om internet, finns inte bara i två tredjedelar av världens alla webbservrar utan också i en rad småapparater – allt från settoppboxar och trådlösa routrar till industriell utrustning.

Buggen sitter i programmet OpenSSL som används för säkra internetförbindelser med standardkrypteringen SSL, till exempel i trafik till och från webbservrar hos internetbanker.

Men även i exempelvis trådlösa routrar och settop-boxar sitter det normalt en enkel inbyggd webbserver som ofta använder OpenSSL. Webbservern används för att tillverkaren eller användaren ska kunna komma åt apparaten via en vanlig webbläsare, för att göra inställningar eller uppdateringar.

Och eftersom buggen har funnits i OpenSSL sedan över två år har den hunnit byggas in i mängder av apparater.

– Internetleverantörer har nu miljoner sådana apparater med den här buggen i sig, säger Philip Lieberman, chef för säkerhetsföretaget Lieberman Software, till Technology Review.

Men medan webbservrar hos företag och stora nättjänster sköts av it-personal som regelbundet lagar säkerhetsluckor och uppdaterar programvaran, kommer få att ta hand om småapparaterna.

– De här uppkopplade apparaterna med sårbara versioner av OpenSSL, kommer inte att få den tillsyn de behöver, säger Jonathan Sander, säkerhetsexpert vid Stealthbits Technologies, till Technology Review.

Heartbleed-buggen gör att man vid en attack kan komma åt små bitar information ur serverns arbetsminne. Exakt vad som fångas upp går inte att förutse, men på normala webbservar har lösenord, användarnamn och krypteringsnycklar visat sig dyka upp.

Vad man kan komma åt på mindre apparater är osäkert, men många hackare arbetar med kontinuerliga och systematiska attacker med hjälp av automatiska program, i jakt på information och sårbarheter, och buggen Heartbleed ger dem nu nya möjligheter.

Inte minst i industriella system kan små luckor visa sig få allvarliga konsekvenser. Redan tidigare har detta varit ett säkerhetsproblem, vilket visas bland annat genom sökmotorn Shodan som skannar internet efter uppkopplade apparater med slarvigt konfigurerad säkerhet.

Bland de över miljarden apparaterna som Shodan hittar finns Uppkopplade bilar, kontrollapparater för fosterhjärtan, kontorsbyggnader, uppvärmningssystem, vattenreningsanläggningar, kraftverk, trafikljus, glukosmätare och tekniska system i banker.

Mats Lewan

Mer om: Buggar

Kommentarer

Välkommen att säga din mening på Ny Teknik.

Principen för våra regler är enkel: visa respekt för de personer vi skriver om och andra läsare som kommenterar artiklarna. Alla kommentarer modereras efter publiceringen av Ny Teknik eller av oss anlitad personal.

  Kommentarer

Debatt